你有没有想过哪种类型的
DDoS攻击最难阻止?有许多不同类型的分布式拒绝服务攻击,但并非所有这些攻击都难以阻止,因此我们将DDoS保护难题的前三名放在一起。一般来说,要有效防御应用程序的合法流量遭受
DDoS攻击总是很难,但是有一些攻击特别难以阻止。
一、直接僵尸网络攻击
僵尸网络是受感染的PC和/或服务器的数字(范围从10到100,000+),可以由攻击者从所谓的C&C(命令和控制)服务器控制。根据僵尸网络的类型,攻击者可以使用它来执行各种不同的攻击。例如,它可用于第7层HTTP攻击,攻击者会使每个受感染的PC /服务器向受害者的网站发送HTTP GET或POST请求,直到Web服务器的资源耗尽为止。
通常,僵尸网络在攻击期间建立完整的TCP连接,这使得它们很难被阻止。它基本上是第7层DDoS,可以修改为尽可能多地对任何应用程序造成伤害,不仅仅是网站,还有游戏服务器和任何其他服务。即使机器人无法模仿目标应用程序的协议,他们仍然可以建立这么多TCP连接,使受害者的TCP / IP堆栈无法接受更多连接,因此无法响应。
通过分析来自机器人的连接并弄清楚它们发送的有效载荷如何与合法连接不同,可以减轻直接僵尸网络攻击。连接限制也可以提供帮助,但这一切都取决于僵尸网络的行为方式,每次都可能不同。通常是识别和停止直接僵尸网络DDoS的手动过程。
二、第7层 HTTP DDoS
基于HTTP的第7层攻击(例如HTTP GET或HTTP POST)是一种DDoS攻击,它通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式,但是无法轻易识别的HTTP洪水。它们并不罕见,对网站管理员来说非常苛刻,因为它们不断发展以绕过常见的检测方法。
针对第7层HTTP攻击的缓解方法包括HTTP请求限制,HTTP连接限制,阻止恶意用户代理字符串以及使用Web应用程序防火墙(WAF)来识别已知模式或源IP的恶意请求。
三、TCP SYN / ACK反射攻击(DrDoS)
TCP反射DDoS攻击是指攻击者向任何类型的TCP服务发送欺骗数据包,使其看起来源自受害者的IP地址,这使得TCP服务向受害者的IP地址发送SYN / ACK数据包。例如,攻击者想要攻击的IP是1.2.3.4。为了定位它,攻击者将数据包发送到端口80上的任何随机Web服务器,其中标头是伪造的,因为Web服务器认为该数据包来自1.2.3.4,实际上它没有。这将使Web服务器将SYN / ACK发送回1.2.3.4以确认它收到了数据包。
TCP SYN / ACK反射DDoS很难阻止,因为它需要一个支持连接跟踪的状态防火墙。连接跟踪通常需要防火墙设备上的一些资源,具体取决于它必须跟踪的合法连接数。它会检查一个SYN数据包是否实际上已经发送到IP,它首先接收到SYN / ACK数据包。
另一种缓解方法是阻止攻击期间使用的源端口。在我们的示例案例中,所有SYN / ACK数据包都有源端口80,合法数据包通常没有(除非在受害者的计算机上运行代理),因此通过阻止所有数据来阻止这种攻击是安全的。源端口为80的TCP数据包。
那么我们应该如何进行DDOS防护呢?主要有一下3种方式:
1、DDOS清洗和黑名单
一方面对用户的请求数据进行监控,发现异常流量,在不影响业务前提下清洗掉这一部分流量。就像是我对店里的客人进行观察,长时间坐着不点饺子的人,就给他赶出去;另一方面秉承“宁可错杀一千,也不放过一个”的策略,把来过店里骚扰的小流氓、甚至是长得像的人一并拒之门外,形成一份过往攻击的黑名单,尽量减少重复攻击的可能。
2、高防服务器
DDOS防护比较常见的方式就是使用高防服务器,高防服务器能够帮助网站拒绝服务攻击,定期扫描网络主节点等,主要是指能独立硬防御50Gbps以上的服务器。也就相当于我雇了几个横高竖大的彪形大汉站在饺子店门口,那些小流氓一过来,就乱棍打走。
3、CDN加速
CDN加速将网站的内容缓存在网络边缘(离用户接入网络最近的地方),然后在用户访问网站内容的时候,通过调度系统将用户的请求路由或者引导到离用户接入网络最近或者访问效果最佳的缓存服务器上,有该缓存服务器为用户提供内容服务;相对于直接访问源站,这种方式缩短了用户和内容之间的网络距离,从而达到加速的效果。也就是CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDOS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。就好比我把饺子店做到线上,只送外卖,送货上门,小流氓即使来店里,也是束手无策了。
DDOS攻击对于现在的企业来说可以说是一个极大的隐患,企业为其服务器和在线业务提供DDOS防护是不可或缺的。同时为了预防DDOS攻击需要我们大家团结起来,共同应对。全面共享DDOS缓解资源、实施行业最佳实践可能很费时间和资源,而且可能无法立即带来回报,但是互联网是个整体性的社区项目,打击DDOS攻击是大家共同的责任。
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御。